htaccess отрицают форму всех блоков wp-login.php "большинство" адресов, но не все
Один из моих сайтов был недавно взломан. Короче говоря, у меня была старая версия новостных рассылок wisiya, которая использовалась для загрузки нескольких файлов в каталог wp-content. С тех пор многое изменилось в отношении безопасности этого домена.
Среди прочего я реализовал всемирную блокировку для wp-login.php через.htaccess следующим образом:
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from my.own.static.ip.adress
</Files>
Я сравнил журналы доступа до и после внедрения этого изменения и был доволен результатами. Все попытки неавторизованного доступа были заблокированы с ответом 403.
До сегодняшнего дня.... Sucuri сообщил мне по электронной почте, что кто-то должен был получить доступ к форме входа и отправил один запрос на вход на сервер.
IP Address: 192.96.204.237
Notification:
User authentication failed: admin
Это было после того, как я изменил файл.htaccess... Так как я все еще довольно плохо знаком с apache и безопасностью в целом, может кто-нибудь объяснить мне, как это вообще возможно?
С наилучшими пожеланиями, Майкл
1 ответ
Возможно, где-то есть какая-то директива Allow, которая заставляет их получить доступ. Попробуйте включить mod_info и открыть страницу mod_info и выполнить поиск без учета регистра для всех экземпляров "allow" (без кавычек), чтобы увидеть, есть ли какие-либо директивы, которые могут это делать.